IT Security
Verunsicherte Mitarbeiter verringern die Systemsicherheit

IT Security

Als nicht besonders großer Fan des Filmemachers Michael Moore bin ich auch nicht sofort losgestürzt, um mir seinen neuesten Dokumentarfilm Fahrenheit 9/11 im Kino anzusehen. Aber er nimmt doch einige zwingende Argumente ins Visier und deshalb fand ich mich vor dem Fernseher wieder, als der Film im TV ausgestrahlt wurde.

Wenn Sie den Film gesehen haben, wissen Sie, dass in Moore’s Version der Ereignisse eiskalte Manipulatoren der Angst auf beiden Seiten des so genannten Kriegs gegen den Terror dargestellt werden. Die Terroristen benutzen ganz offensichtlich die Angst als einen politischen Hebel aber – so Moore – auch die Politiker schüren die Angst, um ihre eigenen Ziele zu rechtfertigen.

Solche Projekte, wie beispielsweise die National ID-Card (Nationale Identifikationskarte) werden teilweise sie als Anti-Terror Maßnahme gerechtfertigt, während manche gefährliche Aktivitäten unkontrolliert davonkommen. Moore filmt einen Reisenden, dem gestattet wurde, vier Streichholzbriefchen und zwei Feuerzeuge an Bord eines Flugzeuges zu bringen, wobei aber beispielsweise ein fünftes Streichholzbriefchen konfisziert wurde, um die Gefahr für den Flug zu verringern.

“Wir haben keine Wahl: Mit der Gefahr müssen wir leben”

Vieles in dieser Art findet sich auch in der aktuellen Ausgabe des Atlantic–Magazins. Der Autor James Fallows weist darauf hin, dass wir keine Wahl haben, sondern mit der Gefahr einfach leben müssen. Allerdings können wir wählen, ob wir in Angst leben wollen. “Die Sicherheitsmaßnahmen auf Flughäfen sind vielleicht die bekanntesten Mahnungen in Bezug auf Sicherheit nach dem 11. September”, schreibt Fallows. “Sie veranschaulichen auch, was mit der gegenwärtigen Herangehensweise nicht in Ordnung ist. Viele der routinemäßigen Aktivitäten und Forderungen sind unklug und eher geeignet, das Vertrauen in das Sicherheitssystem zu untergraben statt aufzubauen.?

Fallows fügt hinzu, dass die 4 Milliarden Dollar, die jährlich für die Sicherheit von Passagierflügen ausgegeben werden, besser woanders eingesetzt werden könnten, so beispielsweise bei der Sicherheit beim Transport auf dem Lande, in Tunneln und auf Brücken, sowie auch für Frachtflüge.

Dies sind natürlich Debatten von einem riesigen Ausmaß und ich möchte sie in keinster Weise abwerten. Aber es ist durchaus gerechtfertigt, darauf hinzuweisen, dass die Dummheiten und Fehler, wie sie von Moore and Fallows dargestellt werden, en Miniature tagtäglich in unseren Unternehmen ablaufen.

Hacker und Virenproduzenten sind vielleicht die Ursache der Angst, aber Anbieter von Sicherheitstools und -dienstleistungen profitieren davon, dass sie die Angst schüren. Verlässt man sich hinsichtlich der Informationen, was man nun kaufen soll – und in manchen Fällen – wie man diese Käufe kostenmäßig rechtfertigen soll – auf genau diese Anbieter, so wählt man ein Leben in Angst. Man sollte statt dessen von unabhängigen Spezialisten Ratschläge einholen, wie mit den Gefahren umgegangen werden soll.

Entsprechend sollten Sie darauf achten, dass die Sicherheitsregeln, die Sie den Mitarbeitern auferlegen, sinnvoll und vernünftig sind. Auch sollten die Ratschläge an die Nutzer das Sicherheitsbewusstsein erhöhen und nicht ihre Abneigung dagegen fördern.

“Tatsächlich ist nichts daran falsch, Passwörter aufzuschreiben, solange das Papier nicht an einem unsicheren Ort aufbewahrt wird.”

Man nehme als Beispiel die übliche Forderung, Passwörter nicht aufzuschreiben. Tatsächlich ist nichts daran falsch, Passwörter aufzuschreiben, solange das Papier nicht an einem unsicheren Ort aufbewahrt wird. Ein Zettel, der an den Monitor geheftet wird und Login- und Passwortdetails enthält, ist zumindest unklug, aber eine Erinnerung im Portemonnaie oder der Brieftasche des Nutzers ist nicht so dumm. In der Terminologie der Sicherheitsaktivitäten wurde das Passwort einfach von einer Art des Single-Faktor-Schutzes (etwas, was der Nutzer weiß) zu einer anderen Single-Faktor-Maßnahme konvertiert (etwas, was der Nutzer besitzt). Und ein aufgeschriebenes Passwort kann eine längere, kniffligere Kombination aus Buchstaben und Zahlen sein, als eine, die sich ein Nutzer ohne Hilfe merken kann.

Ein Verbot von schriftlichen Passwörtern, wozu sich häufig noch die Forderung gesellt, das Passwort regelmäßig zu ändern, ist in der Tat ein Patentrezept für ein schwaches Sicherheitssystem und den Unmut der Nutzer.

Sicherheit ist nicht einfach und es gibt keine einfachen Antworten. Aber es muss wichtiger sein, reale Gefahren einzuschätzen und echte Schwachpunkte zu schützen, als Zeit, Geld und Mühe auf leere Gesten zu verschwenden.